成为了新一代信息技术的核心引擎。随着云计算的飞速发展和广泛应用，以及万 千企业数字化转型换挡提速，企业对云计算的使用效能提出新的需求。云原生以 其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算 质变的技术内核。 云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等 各个技术领域得到广泛应用。中国联通研究院一直从事云原生及其安全技术的研 究，致力于推动云原生在通信行业落地实践，全面落实好“大安全”主责主业， 原生技术架构的典型特征包括：极致的弹性能力，不同于虚拟机分钟级的弹性响 应，以容器技术为基础的云原生技术架构可实现秒级甚至毫秒级的弹性响应；服 务自治故障自愈能力，基于云原生技术栈构建的平台具有高度自动化的分发调度 调谐机制，可实现应用故障的自动摘除与重构，具有极强的自愈能力及随意处置 性；大规模可复制能力，可实现跨区域、跨平台甚至跨服务的规模化复制部署。 由此可见，云原生作为一种新兴的安全理念，是一种构建和运行应用程序的 路径 2：容器攻击 容器提供了独立隔离的环境来打包和运行应用程序，容器的隔离和安全措施 使得用户可以在给定主机上同时运行多个容器。通过 Namespace、Cgroup、 Capability、内核强访问控制等多种安全机制以及隔离措施，保证容器内应用程 序的安全与隔离。图 7 展示了攻击者可能利用的直接对容器进行攻击的方式。 图 7 容器运行时安全风险 2.3.1 守护进程攻击 Docker

© 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 业界动向 —— 开源APM Skywalking 问题：eBPF的内核依赖问题 simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved 获得原力的挑战 SLB / APIGW/ … KVM switch VM iptables POD envoy 服务 KVM switch VM iptables POD envoy 服务 端点：eBPF内核依赖 路径：全链路数据关联 © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 1. 可观测性的成熟度模型 2 云原生下的难题： 微服务迭代快， 侵入式监控效率低； 云网络虚拟化， 东西向流量监控难。 挑战/必要性：网络的动态性和复杂性，不监控流量谈何应用可观测 机遇/有效性：云网络连接API/函数，监控流量可零侵入实现应用可观测 è 云原生应用可观测“原力”，流量监控能力是机遇、基石 simplify the growing complexity © 2021, YUNSHAN Networks Technology

切 问 题 ， 某 一 环 节 堵 塞 影 响 全 局 D e v O p s 效 率 。 依 赖 于 人 员 个 人 经 验 来 先 验 的 进 行 实 施 ， 而 很 多 入 侵 风 险 是 不 可 预 知 的 ！ 标准化能力-承载无忧-E2E云原生纵深安全保障-3-与传统安全方案的差 异 安全问题左移一个研发阶段，修复成本就将 提升十倍，所以将安全自动化检查和问题发 现从运行态左移到研发态，将大大提高效率 现从运行态左移到研发态，将大大提高效率 和降低成本 默认安全策略，可以天然的规避大部分 安全问题，使得人员配置和沟通工作大 量减少，提高了整体效率! 安全右移是为了恰到好处的安全，一些非严 重安全问题，没有必要堵塞主研发流程，可 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ 中的内存是受保护的，用户查询语句在客户端应用加密后发送给云数据库， 云数据库执行检索操作时进入TEE环境，拿到的结果是密文状态，然后返 回给客户端，数据面从传输、计算到存储全链条都是处于加密的，只有可 信执行环境内才进行明文计算。 • SSL+TDE+TEE=E2E云原生数据库安全方案。 RDMA 高级能力-云原生数据库-应用的基石-5-应用迁移 IDC 应用 A B C Oracle|MySQL

兼容市面绝大多数开发语言制品，提供公 用、内部共享、私有等多种使用方式。兼 容市面上制品管理客户端。 全功能云IDE开发 每个云IDE都是一个云端小笔记本，一人一 本，多人可形成云端小局域网。可独立编 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 理，落盘加密，云IDE防护，显示水印等多 重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 国际形势复杂、软件供应链的多样化， 供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 优点 可见 100%资产覆盖 可治 90%效率提升 可防 100%流程覆盖 ü 建立资产台账 ü 分类分级标记 ü 关联责任人 ü 关联内外网业务 ü 漏洞及投毒检测 ü 自主可控率分析 ü 许可证合规分析 ü 自动化修复技术 IAST扫描结果提供DevSecOps常态化安全运营指标 通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序

WASM extension • External-proc extension 可扩展性、灵活性、生态 价值意义 • 技术共享，融合 Envoy 和 MOSN 优势 • 增强 Envoy 和 GoLang 社区生态粘性 MOE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension 需要跨进程通信性能低（UDS vs CGO 1KB Latency 差 8 倍)； 需要扩展具备 gRPC server 能力， 多进程管理复杂 MOSN(GoLang) Extension 可复用 MOSN 现有的 filter 能 力，改造成本低；研发效率高， 灵活性高；GoLang 支持的库比 较多（Consul、Redis、Kafka etc），生态较好 引入 GoLang 扩展后 同等功能的 API, MOSN 集成的 Service Discovery 组件通过该 API(rest http) 和 Envoy 交互 使其 MoE 的服务发现能力也 具备“双模”能力，可同时满足 大规模及云原生的服务发现通 道 MOE 方案介绍 — 如何 Debug Envoy • Admin API • Debug log • Request/Connection

• WASM extension • External-proc extension 可扩展性、灵活性、生态 价值意义 • 技术共享，融合 Envoy 和 MOSN 优势 • 增强 Envoy 和 GoLang 社区生态粘性 MoE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension 需要跨进程通信性能低（UDS vs CGO 1KB Latency 差 8 倍)； 需要扩展具备 gRPC server 能力， 多进程管理复杂 MOSN(GoLang) Extension 可复用 MOSN 现有的 filter 能力， 改造成本低； 研发效率高，灵活性高； GoLang 支持的库比较多（Consul、 Redis、Kafka etc），生态较好 引入 GoLang 扩展后 xDS 同等功能的 API, MOSN 集成的 Service Discovery 组件通过 该 API(rest http) 和 Envoy 交互 使其 MoE 的服务发现能力也具备 “双模”能力，可同时满足大规模及 云原生的服务发现通道 MoE 方案介绍 — 相关采坑记录 GoLang 相关 • GoLang recover 失效 • GoLang 返回的字符串被截断 • export

软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore Apache Log4j2 漏洞 2022年3 月 30 日，国家信息安全漏洞共享平台 （CNVD）收录 Spring 框架远程命令执行漏洞 （CNVD-2022-23942）。攻击者利用该漏洞，可 在未授权的情况下远程执行命令，该漏洞被称为 “核弹级”漏洞。使用 JDK9 及以上版本皆有可能 受到影响。 Spring 框架漏洞 软件下载投毒、SDK/恶意代码污染、基础开源组件漏洞、商业许可证限制 自防御能力，针对该类漏洞的攻击利 用方式精准有效的防护。它可以通过 应用的函数行为分析、上下文情境感 知及热补丁技术有效阻断绝大部分 RCE类未知漏洞攻击。 出厂 免疫 安全运营：常态化使用和运营安全可 信的制品库，通过SCA和SBOM持续 为每个应用程序构建详细的软件物料 清单，全面洞察每个应用软件的组件 情况。RASP配合开源漏洞情报，第一 时间发现并处理开源漏洞风险。 持续 运营

互联网业务、万物互联业务等等造就了海量数据，而海量数据应该也必须能够提炼出价值为业务反向赋能，形成正向业务价值循环 云原生平台(PaaS+Caas+IaaS) 业务系统连接一组人，或者说企业业务实际能力提供者，通过双中台可 以将最上层业务产品诉求直接下沉到能力端，比如我们需要快速搭建一 个电商下单APP，只需要利用中台提供的能力要素，并在APP端组织业务 流程或者产品流程，下单后，商品自动送到用户手中，而无需企业打通 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 弹性 可弹性无限拓展 弹性工作负载 公有云 ETCD ETCD Image Image Data X • 企业可以在业务高峰时使用混合云补充 算力，并在低谷时从公有云撤回算力， 动化能力，节约了人力成本同时提高了 效率，也极大得保证了业务连续性。 • 但是，目前真正落地的企业很少，原因 在于大部分企业组织或者文化问题在落 实上的顾虑，因为“机器人”比人是否可靠 仍然在争论中，可参考或者背书的实例 少，导致落地缓慢。 • 组织结构升级 • 企业IT文化、工作流程、知识体系、工具集的总合升级 • 应用架构升级 • re-platform • re-build • re-host

decar模式捆绑一体 指标生命周期变短 •微服务的流行，要监控的服务数量大幅增长，是之前的指标数量十倍都不止 •广大研发工程师也更加重视可观测能力的建设，更愿意埋点 •各种采集器层出不穷，都是本着可采尽采的原则，一个中间件实例动辄采集几千个指标 指标数量大幅增长 •老一代监控系统更多的是关注机器、交换机、中间件的监控，每个监控对象一个标识即可，没有维度的设计 •新一代监控系统更加关注应用侧的监控 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes 越来越流行，几乎所有云厂商都提供 了托管服务，这就意味着，服务端组件的可用性保障交 给云厂商来做了，客户主要关注工作负载节点的监控即 可。如果公司上云了，建议采用这种托管方式，不要自 行搭建 Kubernetes，毕竟，复杂度真的很高，特别是 后面还要涉及到升级维护的问题。既然负载节点更重要， 我们讲解监控就从工作负载节点开始。 Kubernetes 内存 文件句柄等指标 Kubernetes 控制面组 件的监控 Kubernetes控制面 apiserver的监控 • apiserver 通过 /metrics 接口暴露监控数据，直接拉取即 可 • apiserver 在 Kubernetes 架构中，是负责各种 API 调用 的总入口，重点关注的是吞吐、延迟、错误率这些黄金指 标 • apiserver 也会缓存很多数据到内存里，所以进程占用的

云原⽣应⽤定义 L1: 基础云原⽣应⽤ （1）容器化运⾏ （2）计算与数据分离 （3）满⾜12 因素 （4）可伸缩性 （5）可配置性 （6）基础可观测性 L2: 具备远程交付能⼒ （1）完全的模版化定义 （2）模版⾃动实例化 （3）数据⾃动初始化 （4）业务⾼容错性 （5）业务⾼可⽤性 L3: 具备持续升级能⼒ （1）⾼容错化数据升级 （2）⾼容错化版本升级 （3）版本可回滚 多业务系统 隔离开发 （2）发布业务应⽤模型 （提交测试） 版本管理 ⽅案组装 组件共享 （3）获取测试的业务模版版本 测试环境管理 业务级测试 应⽤云原⽣性测试 交付能⼒测试 （4）标记可交付版本 （5）演示环境交付 （6）客户环境持续交付 完整业务架构 A⽤户定制⽅案 B⽤户定制⽅案 研发平台 交付平台 测试平台 应⽤模型定义实践-开发者 04. 2B交付版本的DevOps